Autor: Christine Grahn, Head of Public Policy & Government Relations - Europe

Astăzi, Comisia Irlandeză pentru Protecția Datelor (DPC) a publicat decizia finală în ancheta privind conformitatea TikTok cu cerințele GDPR referitoare la transferurile de date cu caracter personal către China.

Decizia se concentrează, în principal, pe un interval de timp selectat din anii trecuți, înainte de implementarea în 2023 a Proiectului Clover, inițiativa noastră de securitate a datelor în valoare de 12 miliarde de Euro. DPC a consemnat în raportul său ceea ce TikTok a afirmat în mod constant: nu a primit niciodată o solicitare din partea autorităților chineze privind datele utilizatorilor europeni și nu le-a furnizat niciodată astfel de date.

Realitatea este că Proiectul Clover include unele dintre cele mai stricte măsuri de protecție a datelor din întreaga industrie, inclusiv supravegherea independentă fără precedent asigurată de NCC Group, o firmă europeană de top în domeniul securității cibernetice. Decizia nu reușește să ia în considerare pe deplin aceste măsuri semnificative de securitate a datelor.

Cu 175 de milioane de utilizatori în Europa, peste 6.000 de angajați în regiune și o platformă care a ajutat întreprinderile mici să contribuie cu 4,8 miliarde de Euro la PIB și să creeze peste 51.000 de locuri de muncă, TikTok este profund integrată în economia europeană. Această decizie are implicații nu doar pentru TikTok, ci pentru orice companie din Europa care operează la nivel global. Nu suntem de acord cu această decizie și intenționăm să o contestăm în întregime.

TikTok a respectat propriile norme ale UE

Aceasta nu este prima decizie a DPC privind transferurile de date în afara Europei. Autoritatea a aplicat o amendă record de 1,2 miliarde de euro companiei Meta în 2023, ordonând suspendarea transferurilor de date către SUA, concluzionând că SUA nu asigura o protecție „adecvată” a datelor cu caracter personal ale cetățenilor europeni.

Doar 15 țări au acorduri de adecvare a protecției datelor cu UE – acorduri care permit fluxuri de date libere și sigure peste granițe. Drept urmare, numeroase companii se bazează pe așa-numitele Clauze Contractuale Standard, cadre juridice preaprobate pentru schimbul internațional de date, pentru a facilita accesul la date de la distanță – denumit transfer de date – pentru angajații aflați în țări care nu dețin acest statut.

DPC susține că nu am efectuat evaluările necesare. Contestăm ferm acest lucru, întrucât am realizat evaluări detaliate cu sprijinul firmelor de avocatură externe și al experților.

Pe lângă faptul că DPC nu a luat în considerare în mod substanțial măsurile de protecție extinse implementate în cadrul Proiectului Clover, suntem dezamăgiți că am fost vizați în mod special, în ciuda faptului că ne bazăm pe același mecanism juridic utilizat de mii de alte companii care furnizează servicii în Europa. La fel ca multe organizații care operează la nivel global, TikTok a utilizat cadrul juridic al UE, în mod specific Clauzele Contractuale Standard, pentru a acorda acces strict controlat și limitat angajaților din țările fără acorduri de adecvare a protecției datelor.

Această abordare este pe deplin în conformitate cu normele stabilite de Uniunea Europeană și am fost în mod constant transparenți cu privire la practicile noastre. Spre deosebire de alte companii, explicăm clar aceste mecanisme în politica noastră de confidențialitate și în comunicările cu comunitatea noastră europeană, care numără în prezent peste 175 de milioane de persoane.

Proiectul Clover oferă deja protecții fără precedent pentru datele utilizatorilor europeni

În 2023, TikTok a început implementarea Proiectului Clover în Europa, o investiție de 12 miliarde de Euro care oferă protecții fără egal pentru datele utilizatorilor europeni. Recent, am anunțat un pas important în angajamentul nostru continuu față de securitatea datelor în Europa: o investiție de 1 miliard de euro pentru a înființa primul nostru centru de date în Finlanda. Multe companii globale care operează în Europa au angajați în China – inclusiv competitorii noștri. Dar niciuna nu a luat măsurile pe care le-a luat TikTok. Prin Proiectul Clover, am mers mai departe decât oricine în abordarea riscurilor ipotetice prin măsuri reale și concrete de protecție:

  • Măsurile noastre de securitate a datelor europene din cadrul Proiectului Clover, inclusiv protocoalele de acces la distanță și de transfer de date, sunt acum monitorizate, verificate și validate în mod independent, non-stop, de către renumita companie europeană de securitate cibernetică NCC Group – un nivel de supraveghere independentă și transparență fără precedent în rândul platformelor online.
  • Datele utilizatorilor noștri europeni sunt acum stocate în mod implicit într-o enclavă europeană dedicată, găzduită în prezent în centre de date din Europa și Statele Unite.
  • Am lansat bariere suplimentare de securitate digitală, cunoscute sub denumirea de gateway-uri de securitate. Monitorizate independent de NCC Group, aceste bariere fac parte dintr-un sistem cuprinzător de protocoale tehnice care asigură că doar angajații autorizați pot accesa anumite tipuri de date, restricționând și mai mult accesul intern – inclusiv interzicerea accesului la date restricționate pentru angajații din China, precum numărul de telefon, adresa de e-mail și adresa IP, care sunt stocate în enclavă.
  • În cadrul Proiectului Clover, TikTok a implementat tehnologii avansate de îmbunătățire a confidențialității (PETs), cum ar fi criptarea la acces și confidențialitatea diferențiată, pentru a se asigura că datele nerestricționate sunt anonimizate înainte de a putea fi accesate de angajații din China. Este esențial faptul că experții independenți în securitate cibernetică de la NCC Group au verificat că aceste măsuri de protecție funcționează așa cum au fost prevăzute.

Dacă măsurile extinse implementate în cadrul Proiectului Clover, care sunt cele mai solide și stricte măsuri de protecție a datelor din industria noastră și nu numai, precum și monitorizarea independentă de către o terță parte, NCC Group, sunt considerate insuficiente, este rezonabil să ne întrebăm: ce ar fi considerat ca fiind suficient? Este regretabil că DPC nu pare să fi acordat acestor protecții cuprinzătoare considerația substanțială pe care o merită.

Implicații de amploare

Această decizie riscă să creeze un precedent cu consecințe de amploare pentru companiile și industriile din întreaga Europă care operează la scară globală. Ea reprezintă o lovitură pentru competitivitatea Uniunii Europene. Prin Proiectul Clover, o inițiativă voluntară de mai multe miliarde de Euro, TikTok a implementat o soluție cuprinzătoare care oferă protecții fără egal pentru datele și confidențialitatea utilizatorilor europeni, protejând în același timp fluxurile globale de date și sprijinind inovarea continuă.

Într-un moment în care întreprinderile și economiile europene au nevoie de inovare, creștere și locuri de muncă, considerăm că UE ar trebui să salute și să sprijine soluții precum Proiectul Clover, ca modalitate de a facilita fluxurile de date securizate între UE și țările care nu beneficiază de statutul de adecvare, garantând totodată cele mai robuste măsuri de protecție pentru securitatea și confidențialitatea datelor europene.